NFT заимствование и кредитование Gondi 9 марта объявила, что активно предпринимает меры по компенсации пользователям, пострадавшим от уязвимости в смарт-контракте. Согласно оценкам компании по безопасности Blockaid, злоумышленники использовали уязвимость для кражи около 78 NFT у нескольких жертв, что оценивается примерно в 230 000 долларов США. Gondi заявила, что за исключением логической ошибки в новой версии контракта «Sell & Repay», все остальные функции платформы восстановлены.
Анализ механизма уязвимости: ключевая логическая ошибка в контракте Sell & Repay
«Sell & Repay» — одна из основных функций протокола кредитования NFT Gondi, позволяющая заемщикам продавать заложенные NFT в рамках одной транзакции и автоматически погашать кредит. Последняя версия контракта, развернутая 20 февраля, содержит ошибочную логику в функции «Purchase Bundler», которая неправильно проверяет, является ли вызывающий контракт владельцем или уполномоченным заемщиком NFT, что позволило злоумышленнику обойти проверку собственности и инициировать перевод без владения NFT.
NFT коллекционер tinoch оценил, что потенциальные потери одного из пострадавших составили около 55 ETH, что по рыночной цене на момент оценки примерно равно 108 000 долларов США. Gondi подчеркнула, что масштаб уязвимости ограничен, и NFT, находящиеся в активной фазе займа, «никогда не были затронуты».
Список украденных NFT: известные серии пострадали
По данным Etherscan, украдено 78 NFT, охватывающих несколько известных серий:
- Art Blocks: 44 — самая крупная часть украденных NFT
- Doodles: 10
- Beeple «Spring Collection»: 2
- Другие: несколько ценных брендов NFT и уникальных 1/1 произведений искусства
После инцидента Gondi быстро приостановила функцию «Sell & Repay» и пригласила Blockaid и независимых аудиторов провести всестороннюю проверку безопасности протокола. Gondi заявила, что все остальные операции платформы — включая погашение кредитов, переобсуждение условий, рефинансирование, выдачу новых кредитов, выставление и торговлю NFT — могут быть безопасно возобновлены.
Меры компенсации Gondi: комплексная стратегия возмещения
Работа по компенсации ведется в трех направлениях:
- Контакт с пострадавшими пользователями: Gondi самостоятельно связалась со всеми пользователями, взаимодействовавшими с уязвимым контрактом, уточнила объем потерь и открыла прямую линию коммуникации.
- Возврат украденных NFT: Gondi отслеживает случаи, когда украденные NFT были перепроданы незнающими покупателями, и успешно убедила их вернуть NFT владельцам.
- Покупка аналогичных предметов за средства протокола: для NFT, которые невозможно вернуть напрямую, Gondi использует средства протокола для покупки «аналогичных» предметов из серии 1/1, чтобы компенсировать пострадавших. Gondi заявила: «Хотя это не полностью идентичные предметы, мы считаем, что это справедливое и значимое решение, и ведем прямые переговоры с каждым владельцем». Для пострадавших, потерявших уникальные 1/1 NFT, Gondi сообщает, что ведутся «активные консультации» для поиска индивидуальных решений.
Часто задаваемые вопросы
Что такое Gondi и как произошла эта уязвимость?
Gondi — децентрализованный, некастодиальный рынок ликвидности NFT и протокол кредитования, позволяющий пользователям залогом NFT брать кредиты, зарабатывать проценты или рефинансировать. Уязвимость возникла из-за логической ошибки в новой версии контракта «Sell & Repay», развернутой 20 февраля, которая неправильно проверяла легальность вызова функции, что позволило злоумышленнику инициировать перевод без владения NFT.
Какие NFT были украдены в результате уязвимости Gondi?
Всего было переведено 78 NFT через около 40 транзакций на адрес злоумышленника, включая 44 Art Blocks, 10 Doodles, 2 Beeple «Spring Collection» и другие известные бренды NFT, часть из которых — уникальные 1/1 произведения. Общие потери оцениваются примерно в 230 000 долларов США.
Безопасна ли платформа Gondi для дальнейшего использования?
Gondi заявила, что после завершения проверки протокола Blockaid и независимыми аудиторами, за исключением отключенной функции «Sell & Repay», все остальные операции платформы — включая погашение кредитов, переобсуждение условий, рефинансирование, выдачу новых кредитов и торговлю NFT — могут быть безопасно возобновлены.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Metaplanet получает финансирование для покупки биткоинов при помощи «короля токийской спирали смерти», и перед ростом биткоина остается только надеяться, что EVO продлит ей жизнь?
Bloomberg сообщила, что американский инвестор Майкл Лерх и его фонд EVO, ориентированные на обеспечение ликвидности для малого и среднего бизнеса, в основном используют варранты на акции с плавающей ценой исполнения. EVO занимает лидирующие позиции на рынке Японии, однако ее финансовые инструменты также несут риск размывания акционерного капитала. Metaplanet сотрудничает с EVO и трансформируется в компанию, занимающуюся резервами в биткоинах, но колебания ее цены акций и зависимость от притока средств усиливают операционную неопределенность.
ChainNewsAbmedia1ч назад
NAT Официально Запущен на SpiderPool, Позволяющий BTC Dual-Mining в Тот же Блок
NAT запущен на SpiderPool, что позволяет проводить dual-mining с Bitcoin без дополнительной настройки. Он генерирует 386 миллионов NAT за каждый блок каждые 10 минут, при текущей оценке $38, с общей рыночной капитализацией $38 миллионов. Код открыт.
GateNews2ч назад
Gate日報(4月17日):馬斯克X Money遇紐約加密監管障礙;Yuga Labs任命新CEO
比特幣(BTC)持平於74,920美元,以色列與黎巴嫩停火生效,川普稱伊朗同意不擁核。瑞穗銀行警告馬斯克的X Money可能受到紐約加密監管影響。Yuga Labs更換CEO,Greg Solano轉任董事會主席,Michael Figge接任。市場普遍樂觀,十年來最大比特幣購買潮出現,暗示價格可能向9萬美元邁進。
MarketWhisper2ч назад
Yuga Labs назначает Майкла Фигге CEO, Грег Солано становится председателем совета директоров
Yuga Labs назначила Майкла Фигге генеральным директором, переведя основателя Грега Солано на должность председателя совета директоров. Фигге, ранее занимавший пост главного операционного директора по продуктам, исполнял обязанности генерального директора. Солано будет сосредоточен на творческом руководстве по мере того, как компания развивает свой проект метавселенной Otherside.
GateNews4ч назад
Justin Sun Announces TRON’s PQ Transition, Criticizes Bitcoin And Ethereum
Justin Sun has launched TRON’s PQ upgrade plan, positioning it as the first major blockchain to adopt quantum-resistant technology, while criticizing Bitcoin and Ethereum for their slower progress in addressing quantum threats.
Blockzeit6ч назад
Sweat Economy получает патент на верификацию перемещений в Нигерии и подает заявки на европейские патенты
Sweat Economy получила патент на свою систему верификации перемещений в Нигерии, усилив свою экосистему M2E в рамках NEAR Protocol. Компания подтверждает активность пользователей через приложение Sweatcoin, позволяя пользователям зарабатывать $SWEAT tokens. Это одобрение повышает доверие к ее технологии и поддерживает дальнейшие заявки на патенты в Европе.
GateNews7ч назад
